// 《围棋》作者版权所有。保留所有权利。
// 此源代码的使用受BSD样式
// 许可证的约束，该许可证可以在许可证文件中找到。

package elliptic

import (
	"crypto/elliptic/internal/nistec"
	"crypto/rand"
	"math/big"
)

// p224Curve是基于nistec的曲线实现。P224点。
// 
// 这是一个暴露大数据的包装。基于Int的曲线接口，并对
// 所需的遗留特性进行编码，例如无效和无限点
// 处理。
// 
// 要与nistec软件包交互，点被编码到
// 中并从中解码。正确格式化的字节片。都很大。Int的使用仅限于此软件包。
// 编码和解码是标量乘法运行时间的1/1000，所以开销是可以接受的。
type p224Curve struct {
	params *CurveParams
}

var p224 p224Curve
var _ Curve = p224

func initP224() {
	p224.params = &CurveParams{
		Name:    "P-224",
		BitSize: 224,
		// FIPS 186-4，第D.1.2.2节
		P:  bigFromDecimal("26959946667150639794667015087019630673557916260026308143510066298881"),
		N:  bigFromDecimal("26959946667150639794667015087019625940457807714424391721682722368061"),
		B:  bigFromHex("b4050a850c04b3abf54132565044b0b7d7bfd8ba270b39432355ffb4"),
		Gx: bigFromHex("b70e0cbd6bb4bf7f321390b94a03c1d356c21122343280d6115c1d21"),
		Gy: bigFromHex("bd376388b5f723fb4c22dfe6cd4375a05a07476444d5819985007e34"),
	}
}

func (curve p224Curve) Params() *CurveParams {
	return curve.params
}

func (curve p224Curve) IsOnCurve(x, y *big.Int) bool {
	// IsOnCurve被记录为拒绝（0，0），即
	// infinity的常规点，但P224 PointFromAffine接受该点。
	if x.Sign() == 0 && y.Sign() == 0 {
		return false
	}
	_, ok := p224PointFromAffine(x, y)
	return ok
}

func p224PointFromAffine(x, y *big.Int) (p *nistec.P224Point, ok bool) {
	// （0，0）按惯例是无穷远处的点，不能用仿射坐标表示。Marshal错误地将其编码为未压缩的
	// 点，SetBytes将正确拒绝该点。见第37294期。
	if x.Sign() == 0 && y.Sign() == 0 {
		return nistec.NewP224Point(), true
	}
	if x.Sign() < 0 || y.Sign() < 0 {
		return nil, false
	}
	if x.BitLen() > 224 || y.BitLen() > 224 {
		return nil, false
	}
	p, err := nistec.NewP224Point().SetBytes(Marshal(P224(), x, y))
	if err != nil {
		return nil, false
	}
	return p, true
}

func p224PointToAffine(p *nistec.P224Point) (x, y *big.Int) {
	out := p.Bytes()
	if len(out) == 1 && out[0] == 0 {
		// 这是无穷远点的正确编码，
		// 解组不支持。见第37294期。
		return new(big.Int), new(big.Int)
	}
	x, y = Unmarshal(P224(), out)
	if x == nil {
		panic("crypto/elliptic: internal error: Unmarshal rejected a valid point encoding")
	}
	return x, y
}

// P224随机点返回曲线上的随机点。当Add、
// Double或ScalarMult被输入一个不在曲线上的点时使用，这是未定义的
// behavior。最初，我们总是对它进行计算（这允许
// 无效曲线攻击），并依赖调用者和解组器避免这种
// 首先发生。现在，我们无法构建nistec。P224点
// 用于无效的坐标对，因为该API更安全。如果我们惊慌失措，我们就有引入DoS的风险。如果我们返回零，我们就有恐慌的风险。如果我们返回
// 则输入ecdsa。验证可能无法打开。最安全的方法似乎是
// 返回一个有效的随机点，希望这不会帮助攻击者。
func p224RandomPoint() (x, y *big.Int) {
	_, x, y, err := GenerateKey(P224(), rand.Reader)
	if err != nil {
		panic("crypto/elliptic: failed to generate random point")
	}
	return x, y
}

func (p224Curve) Add(x1, y1, x2, y2 *big.Int) (*big.Int, *big.Int) {
	p1, ok := p224PointFromAffine(x1, y1)
	if !ok {
		return p224RandomPoint()
	}
	p2, ok := p224PointFromAffine(x2, y2)
	if !ok {
		return p224RandomPoint()
	}
	return p224PointToAffine(p1.Add(p1, p2))
}

func (p224Curve) Double(x1, y1 *big.Int) (*big.Int, *big.Int) {
	p, ok := p224PointFromAffine(x1, y1)
	if !ok {
		return p224RandomPoint()
	}
	return p224PointToAffine(p.Double(p))
}

func (p224Curve) ScalarMult(Bx, By *big.Int, scalar []byte) (*big.Int, *big.Int) {
	p, ok := p224PointFromAffine(Bx, By)
	if !ok {
		return p224RandomPoint()
	}
	return p224PointToAffine(p.ScalarMult(p, scalar))
}

func (p224Curve) ScalarBaseMult(scalar []byte) (*big.Int, *big.Int) {
	p := nistec.NewP224Generator()
	return p224PointToAffine(p.ScalarMult(p, scalar))
}
